Shors Algorithmus schränkt ein, wenn

8

Damit eine ganze Zahl faktorisiert wird, wobei (gleichmäßig) zufällig zwischen und , wobei der Größenordnung von ( das kleinste mit ). :: $N$ $a$ $1$ $N$ $r$ $a\mod N$ $r$ $a^r\equiv 1\mod N$

Warum müssen wir in Shors Algorithmus das Szenario verwerfen, in dem $a^{r/2} =-1 \mod N$ ? Warum sollten wir das Szenario nicht verwerfen, wenn $a^{r/2} = 1 \mod N$ ?

algorithm shors-algorithm

— Technischer Löser
quelle

Dies hat nicht unbedingt mit Quantencomputing zu tun. Wir sprechen hier über den klassischen Algorithmus. Es ist nur so, dass Shors Algorithmus uns eine gute Möglichkeit bietet, die Reihenfolge zu finden,

r

$r$ , aber Sie können dies auch klassisch tun.

— DaftWullie

1

@DaftWullie Obwohl das stimmt, können Sie dies nur wissen, wenn Sie den Shor-Algorithmus kennen (dh QC-Kenntnisse). Die Frage lautete: "Warum können wir Shor nicht für diese Eingaben verwenden?" geht es um QC. Die Antwort enthält nicht viel QC, aber um zu wissen, welche Antwort Sie geben müssen, müssen Sie dennoch über Shors Algorithmus Bescheid wissen.

— Diskrete Eidechse

2

Die Anforderung, dass ist, entspricht der Anforderung, dass . $a^r\equiv 1\mod N$ $a^r - 1\equiv 0\mod N$

Wir wollen eine Zahl, , so dass der größte gemeinsame Nenner von und ein geeigneter Faktor von (dh ein Faktor ). $b$ $b$ $N$ $N$ $\neq 1, N$

Wir haben auch, dass . $a^r-1 = \left(a^{r/2}-1\right)\left(a^{r/2}+1\right)$

Wir nehmen also . Wir wissen, dass die kleinste Zahl ist, so dass , was zeigt, dass und damit (wie sonst würde teilen ). $b = a^{r/2}-1$ $r$ $a^r = 1\mod N$ $a^{r/2}\neq 1\mod N$ $\gcd\left(a^{r/2}-1, N\right)\neq N$ $N$ $b$

Nach Bézouts Identität existiert oder . Wenn teilt , ergibt dies, dass oder teilt . $\gcd\left(a^{r/2}-1, N\right)=1, \exists\, x_1, x_2\in\mathbb Z \text{ s.t. } \left(a^{r/2}-1\right)x_1+Nx_2 = 1$ $\left(a^r-1\right)x_1+N\left(a^{r/2}+1\right)x_2 = a^{r/2}+1$ $N$ $a^r-1$ $N$ $a^{r/2}+1$ $a^{r/2} = -1\mod N$

Dies ergibt, dass die Anforderung (neben der Bedingung für ) ausreicht, um zu bestimmen, dass der größte gemeinsame Nenner von und ein Eigenwert ist Faktor . $a^{r/2}\neq -1\mod N$ $r$ $a^{r/2} - 1$ $N$ $N$

— Mithrandir24601
quelle

2

Es gibt kein Szenario für da Sie bereits angenommen haben, dass der kleinste Wert ist, so dass und ist kleiner als . $a^{r/2}\equiv 1\text{ mod }N$ $r$ $a^r\equiv1\text{ mod }N$ $r/2$ $r$

Wenn Sie wissen, warum Sie diskontieren müssen , ist der Punkt, dass Sie etwas gefunden haben, das für eine ganze Zahl erfüllt . Dies faktorisiert als wenn ist. Entweder einer der Begriffe teilbar ist durch , oder jede enthält verschiedene Faktoren von . Wir möchten, dass sie verschiedene Faktoren enthalten, damit wir Computer , um einen Faktor zu finden. So wollen wir ausdrücklich , dass . Ein Fall wurde wie oben angegeben beseitigt, indem verlangt wurde $a^{r/2}\equiv -1\text{ mod }N$ $(a^r-1)=kN$ $k$ $(a^{r/2}-1)(a^{r/2}+1)=kN$ $r$ $(a^{r/2}\pm 1)$ $N$ $N$ $\text{gcd}(a^{r/2}\pm1,N)$ $a^{r/2}\pm 1\neq 0 \text{ mod }N$ $r$ so klein wie möglich sein. Den anderen müssen wir explizit rabattieren.

— DaftWullie
quelle

2

Wenn , dann ist eine triviale Quadratwurzel von anstelle einer interessanten Quadratwurzel. Wir wussten bereits, dass eine Quadratwurzel von . Wir brauchen eine Quadratwurzel, die wir noch nicht kannten. $a^{r/2} \equiv -1$ $a^{r/2}$ $1$ $-1$ $1$

Angenommen, ich gebe Ihnen eine Zahl so dass . Sie können diese Gleichung wie folgt umschreiben: $x$ $x^2 = 1 \pmod{N}$

\begin{aligned} x^{2} & = 1 + k \cdot N \\ x^{2} - 1 & = k \cdot N \\ (x + 1) (x - 1) & = k \cdot N \end{aligned}

$\begin{align} x^2 &= 1 + k \cdot N \\ x^2 - 1 &= k \cdot N \\ (x+1)(x-1) &= k \cdot N \end{align}$

Der Schlüssel ist daran zu erkennen ist , dass diese Gleichung trivial ist , wenn ist $x$ $\pm 1 \bmod N$ . Wenn , dann ist die linke Seite weil der Faktor . Das gleiche passiert, wenn , aber mit dem anderen Faktor. $x\equiv -1$ $0 \bmod N$ $(x+1)\equiv 0$ $x \equiv +1$

Damit sowohl als auch interessant sind (dh nicht Null mod ), muss eine zusätzliche Quadratwurzel von . Eine Quadratwurzel neben den offensichtlichen Antworten und . Wenn dies geschieht, ist es unmöglich, dass die Primfaktoren von alle in oder alle in , und so gibt Ihnen garantiert einen Faktor von anstelle eines Vielfachen von . $(x+1)$ $(x-1)$ $N$ $x$ $1$ $+1$ $-1$ $N$ $(x+1)$ $(x-1)$ $\gcd(x+1, N)$ $N$ $N$

Wenn zum Beispiel dann ist eine zusätzliche Quadratwurzel von 1. Und tatsächlich sind sowohl als auch sind Faktoren von . Wenn wir die langweilige Quadratwurzel , wäre weder noch sind Faktoren von . $N=221$ $x=103$ $\gcd(x+1, N) = \gcd(104, 221) = 13$ $\gcd(x-1, N) = \gcd(102, 221) = 17$ $221$ $x=-1\equiv 220$ $\gcd(x+1,N) = \gcd(221, 221) = 221$ $\gcd(x-1,N) = \gcd(219,221) = 1$ $221$

— Craig Gidney
quelle